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Автоматический метод оперативного 
построения абстракций при верификации 
формальных моделей асинхронных систем 


Предложен метод построения точных абстракций «на лету» и его использование в верификации 
формальных моделей. Метод основан на том, что каждое пройденное состояние модели 
характеризуется неполным набором атрибутов, при этом достигается существенное сокращение числа 
состояний, необходимых для анализа верифицируемой модели. Описаны основные алгоритмы 
построения абстракций, приведены примеры, иллюстрирующие эффективность применения, а также 
необходимые расширения для проверки темпоральных свойств. 


Введение 


С возрастанием сложности программных систем обостряется актуальность авто- 
матизации проверки их правильности. Одним из основных методов автоматической 
верификации есть проверка модели формальных спецификаций систем (тоде| снескте 
[1]. В настоящее время наиболее популярны такие верификаторы, как ЗРИМ [2], [3], 
ЗМУ [4], №$МУ [5], Уето» [6]. Основная проблема верификации есть проблема 
комбинаторного взрыва состояний модели. Решению проблемы посвящено множество 
различных методов — накладываются ограничения на пространство поиска [7], исполь- 
зуются различные абстракции и аппроксимации [8-11], методы частичного порядка [12], 
[13], использование симметрий при проверке эквивалентности состояний [14], [15], 
исследование зависимостей [16], направленный поиск [17]. Многие верификаторы 
используют заданные пользователем абстракции и специальные состояния («Ёапез$ 
соп$гат», «В», «тезблсе аз») [18], [19] для отсечения ветвей поведения. В 
последнее время популярной техникой проверки моделей стала техника построения абст- 
ракций (в частности, абстракций предикатов) с последующим уточнением (т.н. абзгасноп- 
тейпетеп®. Уточнения подразумевают повторные запуски эксперимента для устранения 
ложных поведений. Такой подход часто называется СЕСАК (Соищег-Ехатр!е Си4еа 
Ачютаеа Кейпетеп" — автоматическое уточнение, основанное на анализе контр-приме- 
ров), и составляет основу для многих популярных верификаторов [6], [8], [9], [11], [20]. 

Данная работа описывает метод автоматического построения абстракций «на 
лету», в основе которого лежит анализ истории изменения и использования значений 
атрибутов. Так, для каждого пройденного состояния выделяется достаточное для 
проверки свойств модели подмножество атрибутов. Ниже даны формальные опре- 
деления моделей и проверяемых свойств, после чего описаны алгоритмы и приве- 
дены их обоснования. В завершение представлены примеры и сравнительный анализ 
с существующими методами и некоторыми популярными верификаторами, а также 
необходимые расширения метода для проверки темпоральных свойств. 
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1. Формальные модели и их свойства 


Операционная семантика модели может быть определена в терминах тран- 
зиционных систем (ТС). ТС - это тройка Т =(0,4,,-—>), где О — множество 
состояний, 4, ЕО -— начальное состояние, >< ОхО -— конечное множество детер- 
минированных переходов, записывается 4-4’, если существует переход из 
состояния 4 в 4’, такой переход будем называть допустимым из состояния 4. Путь 
рай из состояния 4, в 4, есть (конечная) последовательность состояний 
Ч, >94, >... 4+. Состояние 4 достижимо, если существует путь из 4, в 4. Будем 
обозначать 0(4) все достижимые из 4 состояния. Размеченная ТС обозначается 
ТГ. = (Т,Г.) где Т - ТС, в которой множество переходов размечено: >= (| и 
Используются реализации атрибутных ТС (АТС) вида М = (ТГ, А, О,1,Е), где А 
обозначает конечное множество атрибутов, О(у) есть конечная область значений 
для каждого атрибута уе А; ТЁ - размеченная ТС с конечным числом состояний, у 
которой переходы —= ( а— В имеют @< - предусловие в виде бескванторной 


формулы (классической) логики предикатов, { — имя перехода, В — постусловие, 
представляющее собой набор присваиваний вида у:= Ё(О, А); Г -— интерпретация 
атомарных формул, а функция Ё - интерпретация правых частей присваиваний в 
постусловиях. В описании алгоритмов будем использовать функцию еуа1щасее как 
для [ ‚таки для Р. 

Определение 1. Конкретной АТС есть М, = (ТЁ.,А,О,1,Е), в которой каждое 


состояние системы 4, е О, характеризируется множеством значений всех атрибутов: 
Чс = Се (у; = а), ер(ъ,}}. 
Определение 2. В абстрактной АТС М, =(ТЁ,,А,О,1,Е) для каждого состоя- 


ния системы 4, е О, существует подмножество А, < А ‚что 4, = ( (у=а,)|уЕА}. 


Определение 3. Истинность формулы ф на состоянии пути рь, записывается 
р!=Ф, определяется индуктивно по структуре формулы ф: 


Ея = Т(р., а) =Т — если атомарная формула а истинна в 1-м состоянии; 
р: |= —Ф = р: |= ф- если формула фне выполняется в р; 

р: |= Ф.лф2 = р, |= ф: л р. |=Ф› — если вр; выполняется формула фи $> 

р: |= ф1\ф> = р: |= ф: У р, |=ф› — если в ррвыполняется формула ф! или $>; 


Определение 4. Переход {Е достижим, если существует достижимое состояние 
ЧЕ О, такое, что 4—>4'| 4'ЕО. 

Определение 5. Назовем тупиковым состояние 4“, из которого не существует 
ни одного допустимого перехода: У# =>: 4“ Е @.. 

Определение 6. Назовем 4' состояним ливлока, если 4' Е 6(4,)^0(4,)-6(4')=@. 

Определение 7. Назовем недетермированным состояние 4”, для которого 
существует более чем один допустимый переход: 94,1, =>: 4" Е а, ла" = а, . 


Отметим, что если тупиковая ситуация (4еаЧФюосКк) почти всегда интерпрети- 
руется как ошибка, то недетерминизм (папзШюоп шсопз1${епсу) и ливлок (Пуеоск) в 
модели — скорее, сигнал предупреждения для дальнейшего анализа. 
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Определение 8. Назовем абстрактную АТС М, точной абстракцией конкреетной 
АТС М. по отношению к проверяемым свойствам Ч, если выполняется М, |= <М, =. 


Цель данной работы состоит в автоматическом построении точных абстракций 
сос-тояний при проверке таких свойств системы, как достижимость переходов, 
тупиков, ливлоков и недетерминизмов, а также свойств, заданных пользователем. 


2. Описание метода 


Интуитивно, суть метода заключается в игнорировании некоторых незначимых 
значений атрибутов. Под «незначимым» на некотором состоянии 3 понимается 
значение атрибута, которое не используется ни одним переходом, а также не 
различается ни одним из проверяемых свойств на всех состояниях, достижимых из 
5. Таким образом, незначимые значения можно не запоминать, и тем самым 
ослабить проверку эквивалентности состояний. Соответственно, «значимым» на 
состоянии есть значение атрибута, которое используется либо для определения 
допустимости перехода, либо для проверки свойств. Заметим, что существование 
состояний в модели, содержащих такие незначимые значения атрибутов, не всегда 
означает наличие избыточного присваивания в постусловии. Такие присваивания в 
одной ситуации могут быть значимыми, а в другой — нет. Не теряя общности, 
предполагается, что ни предусловия, ни постусловия: не допускают деления на 0, 
выходов за пределы допустимых значений и использования неинициализированных 
атрибутов. Анализ таких свойств потребует введения соответствующих вспомо- 
гательных атрибутов и проверок; требуемая модификация [21] носит чисто технический 
характер и не является критичной для доказательства основных свойств алгоритмов. 
Рассмотрим пример некоторого предусловия: Хл Ууй. Непосредственно из таблицы 
истинности формулы следует, что если значение атомарной формулы Х ложно, то 
значение У не влияет на результат, т.е. значение У может быть любым; аналогично, 
значение Х можно не вычислять, если Х и У истинны. На практике, во многих 
языках программирования, таких как Си [22] и пр., бинарные логические операции, 
вообще говоря, интерпретируются как некоммутативные и, как правило, ассоци- 
ируются слева направо. Сначала всегда вычисляется первый операнд; если его 
значения достаточно для определения результата операции, то второй операнд не 
вычисляется. Приведем пример: 


1Е(р != МОЬЬ && р->аЕеек == 0)... 
если поменять местами конъюнкты, то в результате выполнения этого участка 
программы со значением р = МОТЬ произойдет сбой сегментации. Далее описан 


алгоритм, преобразующий логическую формулу в программу, интерпретирующую 
предусловия переходов с учетом некоммутативности логических операторов. 
Отметим, что из соображений простоты описания и доказательств, 
приведенные алгоритмы не претендуют на оптимальность. 
Алгоритм 1. Интерпретация предусловий. 
Вход. Имя перехода + и формула предусловия Рге. 
Выход. Процедура рхесопа [+], интерпретирующая предусловие Рге. 


1р$егргеЕ рге := ргкос(®, Рге)Бед1п 
гевакп ‘ ргесопа!! := ргос($ЛосаКР_ ФЕТ, гези!) Бедт 
В 5ЕТ < ©; ! 


Скоер Сар1е(Рге, Т) ! 
‘гешт (гезий; В_$ЕТ) епа’ 
епа 
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Оператор +коЕЬ_+ар1е представляет собой систему переписывающих правил, которая 
сопоставляет входной терм левой части (до знака «=») каждого правила сверху вниз 
до первого подходящего, и на выходе строит терм согласно правой части правила; Т, 
Е обозначают Тгие, РГа1 зе; еуа1афе вычисляет значение атомарных формул: 


СкаеВ Сар1е 
(а \/ Ю, Т) 


5; 


(а \/ Ю, Е) 


(а&ь, 
(а&ь, 


(а) 
(а) 
‚т 


‚Е 


к ' 


( 
( 
( 
( 


т) 


Е) 


т) 
Е) 


‘Бедт’ ! 


ков _ 


гемг1Ее_зузвет(а, Р)Бед1п 


Кар1е (а, Т) 


И(гезий=Е)ввеп до Бедт ' ! 


‘Бедт’ ! 


ЕВ _ 


Сар1е (а, Е) 


И(гезий=Т)ввеп до Бедт ' ! 


‘Бедт’ ! 


ЕВ __ 


Кар1е (а, Т) 


Игези!=Т)&Веп 4о Бедт’ ! 


‘Бедт’ ! 


ЕкоеВ 


Сар1е (а, Е) 
| 


И(гези!=Е)&пеп ао Бедт ' 
СкоеВ Саю1е(а, Е), 


ЕхоЕЬ фарТе (а, 


теаа(а) ! 
геаа (а) ! 


' ‘епа 


Скаер СафТе (Ь,Т) 


' ‘епа 


СгиЕВ СаБТе (5, Е) 


' ‘епа 


Скаер СарТе (Ь,Т) 


' ‘епа 


Скабр СарТе (Ь,Е) 


Т), 
‘гезиЁ < еуашаЕ (5, ‘! а! 
‘гезиЁ < -(еуашав($, ‘! а ! 


7)" 


#)) 


‘епа’, 


‘епа’, 


‘епа’, 


‘епа’, 


Знак «!» означает операцию конкатенации. Процедура геаа строит операторы для 
добавления атрибутов, ВХхОДЯЩИХ В формулу, в некоторое множество В 5ЕТ: 


теа 


епа 


а 
в < \ 


у’. 
’ 


:= ркос (абом1с Еогтоа1а)1оса1 (г) Бед1п 


Еог_еасВ абег Е абоп1с ГЕогто1а ао 
с 


гебагп 


г 


` Ю $ЕТ < В $ЕТ \/ ' ! 


асек 


7. 
) г 


Алгоритм 1 применяется так же для интерпретации пользовательских свойств модели. 
При этом вместо имени перехода первым параметром указывается идентификатор 
свойства. 


Вход: 1пеегркее_рге (+1, (а>0 \/ 6=1)) 


Выход: 
ргесопа [+1] 
(В ЗЕТ, 
В 5 
гез 
1Е (гези1е = 
В 5ЕТ < 
гез 
епа 


и1Е < еуа1оа%е ($, 
ЕБеп ао Бедтп 
В 5ЕТ \ Ь; 

и1Е < еуа1оафе($, Ь=1) 


Е) 


гееакп (гезо10; В 5ЕТ) 


епа 


:= ргкос (5) 1оса1 
гези1е)Бед1т В 51 
ЕТ < ВЕТ Ча; 


ЕТ < ©; 


а>0); 


Выход: 


ргесопа [заЁе®у1] 
гези1Е) Беда В 51 
В ЗЕТ < В 51 а; 
016 < 
(тези1 Е 
В 5ЕТ` <- 
ПЕ <= 


(В ЕТ, 


ТЕ 


епа 


ке5 


:= ргос (5) 1оса1 


ЕТ 
Е 
Е, 


Е) 
В_51 


ча; 


вт Ь; 


< (еуа1саее (5, 


ЕТ < ©; 


а>0)); 
ЕБеп Ао Бедтп 


< (еуа1саее (5, 


гееакп (гезо10; В 5ЕТ) 


епа 


Рисунок 1 — Пример работы алгоритма 1 


Лемма 1. Алгоритм 1 строит процедуру ргесопоа, которая: 
а) интерпретирует логическую формулу согласно таблицам истинности для неком- 
мутативных логических выражений, содержащих только пропозициональные связки 
и имеет на выходе Т, если формула истинна, и Е в противном случае; 
6) для бинарных операций не вычисляет второй операнд, если значения пер- 
вого операнда достаточно для определения результата операции; 


в) множество В_51 


ранды, значения которых вычислялись. 
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Ь=1)) 


Вход: 11 гргее рге (заЁефу1, ^(а>0 & Ю=1)) 


ЕТ на выходе содержит только атрибуты, входящие в опе- 
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Доказательство: 

а) преобразование пропозициональных связок (Е гаёь 6ар1е, правила 1 — 6) и 
вычисление результата интерпретации атомарных формул, т.е. вызов функции 
еуа1иа®е (правила 7 — 8) производится с учетом полярности (Т, Е) согласно табли- 
цам истинности для некоммутативных логических выражений; 

6) согласно семантике операторов 1Е-Епеп, вычисление второго операнда осу- 
ществляется только в случае, когда значения первого операнда не достаточно для 
определения результата операции (Ехаь_еар1е, правила 1 -— 4); 

в) базис рекурсии (последние два правила) содержит вызов процедуры е\а1щафе, 
которая вычисляет результат атомарного выражения. А так как процедура геаа 
вызывается только перед вызовом еуа1саке с тем же параметром, и только она фор- 
мирует множество В_ СЕТ, то множество будет содержать только атрибуты, входя- 
щие в операнды, значения которых вычислялись. 

Следствие 1. Значений атрибутов множества В_СЕТ на выходе процедуры 
ргесопа достаточно для определения допустимости перехода. 

Процедура ргорегеу_свеск формирует множество атрибутов В_5ЕТ, которые ис- 
пользуются для проверки всех пользовательских свойств модели на состоянии $5: 


ргорегеу спесКк := ргос (5, \Ф )1оса1 (ВЕЗОГТ, В 5ЕТ, гез, г)Бедап 
ВЕЗОЬТ. <— Е; В ЗЕТ = ©; 
Еог еась р е ‘Ч 40 Ьедап 
(тез; г) <— ргесопа[ъ] (5); 
1Е (гез = Т) Бер 4о ВЕЗОШТ < Т; 
В 5ЕТ — В ЕТ Ч к 
епа 
гебагп (ВЕЗОШТ; В 5ЕТ) 
епа 


Следствие 2. Значений атрибутов множества В_5ЕТ на выходе процедуры 
ргорег-6у_сВеск достаточно для определения истинности пользовательских свойств. 

Заметим, что в_ЗЕТ будет содержать не обязательно все атрибуты, входящие в 
предусловие перехода или формулу свойства модели. Для краткости, будем называть 
атрибуты множеств В СЕТ В-атрибутами. 

Рассмотрим далее алгоритм 2, который будет использоваться для построения 
процедур для интерпретации постусловий. Из соображений простоты описания 
предполагается, что присваивания в постусловии коммутативны, т.е. не содержат 
повторных присваиваний и не используют новых значений атрибутов. 

Алгоритм 2. Интерпретация постусловий. 

Вход. Переход +, множество присваиваний постусловия Роз, так же исходное сос- 
тояние $гс, и целевое оз. 

Выход. Процедура розЕсопа[=] для интерпретации присваиваний Роз, а так же 
множества М СЕТи\ 5ЕТ[ ]. 


1пеегргее роз® := ркос (+, Роз®)1оса1 (г, м, ехрг, \)Бед1п 
1. гк < ‘розсопа[ := ргос($гс, Оз осаКИ/_$ЕТ,‚У ЗЕТ])Бедт 
И/ ЕТ < ©; У $ЕТ![] < @;'; 


2. ох _еасВ (м := ехрг) © Розе ао Бед1п 
в. х < г! `‘И/ ЕТ < И/ ЕТ Гм! ;'; 
4. Еог_еасВ у Е ехрг 94° 
5 хх г! ‘У ЗЕТГ' Ги! \] < У ЕТ! Ги! \] мгу! \;'; 
6. х < г! `‘О$Ь>'!Е м! ‘< еуаша@е($гс, ехрг)' ! *;' 
епа 

7. г < г! ‘гемт ($6 И/ ЗЕТ; М $ЕТ) епа' ; 
8. гебагп к 

епа 
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Вход: 

1псегргее роз% (+1, (а := а - 1; с := Ъ5)) 

Выход: 

розесопа[{1] := ркос(5гс, 0зЕ)1оса1 (М_ЗЕТ, У ЗЕТ[] ) Беда 
М ЗЕТ < @; У 5+ЕТ 1 < 9; 
М ЗЕТ < И 5ЕТ \ а; У ЗЕТ[ а] < У ЗЕТ[ а] а; 
ре=->а <— еуа1 паке (5гс, а - 1) = 
И ЕТ < МИЭТ с; У ЗЕТ[ с] < У 5ЕТ[ с] У Б; 
2&=->с < еуа1афе (5гс, ь); = 


гееакп (050, М 5ЕТ, У 5ЕТ) 
епа 


Рисунок 2 — Пример работы алгоритма 2 


Лемма 2. Алгоритм 2 строит процедуру розесопа, которая: 

а) выполнит все присваивания постусловия из состояния $гс в 05%; 

6) формирует множество атрибутов И_5ЕТ, которым осуществлялось присваивание; 

в) для каждого атрибута м" из множества М_5ЕТ формирует множество У _ЗЕТ [м], 
содержащее атрибуты, входящие в выражения, формирующие значение перезапи- 
сываемого атрибута м. 

Доказательство: 

а) строка 2 предполагает выполнение строки 6 для каждого присваивания; в 
строке 6 присваивание значения, вычисляемого из предыдущего состояния 5гс, вы- 
полняется для атрибута нового состояния 23; 

6) строка 2 предполагает выполнение строки 3 для каждого присваивания; строка 3 
выполняет формирование множества М_5ЕТ, добавляя перезаписываемый атрибут; 

в) строка 2 выполнит строку 4 для каждого присваивания; строка 4 предпо- 
лагает выполнение добавления (строка 5) каждого атрибута, входящего в выражение, 
формирующее значение перезаписываемого атрибута \ во множество \_ ЕТ [м]. 

Для краткости будем называть атрибуты множества И_ЗЕТ И-атрибутами, а 
У 5ЕТ[] — У-атрибутами. Множества В-атрибутов и У-атрибутов различаются намеренно 
потому, что значения И-атрибутов могут не использоваться в будущем, и таким образом, 
соответствующие значения У-атрибутов так же останутся неиспользованными, а значит, 
«незначимыми». Однако, если же И-атрибут (на продолжении пути) будет участвовать в 
определении поведения или в проверке свойств, т.е. станет В-атрибутом, то элементы, 
формировавшие значение такого И-атрибута (У-атрибуты) так же станут «значимыми». 
Далее зададим функцию перехода +гап$1*%, которая: формирует множество В-атрибутов, 
и, если переход допустим, новое состояние (25%), а так же множества \- и И-атрибутов. 


Сгапз1Е := ркос (Тгапз1Е1оп, бхс, 256) 1оса1 (ВЕЗОШТ, В 5ЕТ,М 5ЕТ,\У 5ЕТ)Ъедап 
(ВЕЗОГТ; В 5ЕТ) <— ргкесопа [Тгапз1®1оп] ($гс); 
1Е (ВЕЗОГТ = Т) 4Беп 4о 

(236; М ЕТ; У 5ЕТ) <— розесопа[Тгапз1&1о1] (5кс, 056); 
гебагп (ВЕЗОШТ; 05$; В ЗЕТ; М 5ЕТ; У 5ЕТ) 

епа 


Предусловие перехода {1 : (а>0 \/ ь=1) 


Постусловие перехода {1 : (а := а - 1; с :=Ъ) 
Вход: 

Е гапз1 (1, (а = 2, ББ =0), (а=2, ББ =0)) 
Выход: 

(Т; (а = 1, Ь = 0, с = 0); (а, с); ([а]а, [<] Ъ) ) 


Рисунок 3 — Пример работы процедуры ап 
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Легко видеть, что согласно леммам | и 2, процедура +гапз1е удовлетворяет 


определению перехода АТС. В дальнейшем будем использовать структуру Егасе: 
Сгасе [1паех] = (НТ5Т, У 5ЕТ[], М 5ЕТ, ехр1океЯ, аеа@Я1оск, 110К) 


Индекс структуры 1паех используется для синхронизации со структурой рав. 
Множество НТ5ЗТ необходимо для хранения истории значений атрибутов, его 
определение приводится ниже. Множества \_5ЕТ[] и М_$ЕТ формируются из соотве- 
тствующих множеств при осуществлении перехода процедурой Егапз1е. Множество 
ехр1огеа используется для запоминания исследованных переходов, Яаеад1оск как 
признак тупиковой ситуации, а так же связь 11пк — индекс пути для нахождения 
сильно связных компонент графа поведения модели. 

Очевидно, что для того, чтобы вычислить значение атрибута на предыдущем 
состоянии пути в случае, когда постусловие последнего перехода содержит прис- 
ваивание этому атрибуту, достаточно знать значения всех атрибутов, находящихся в 
правой части такого присваивания. Очевидно также, что если постусловие последнего 
на пути перехода не содержит присваивания атрибуту, то его значение не изменится. 


Определение 9. Множество Н) для атрибута а на /-м состоянии пути (/ > 0) 


включает сам атрибут а, или, если его значение перезаписывалось в постусловии 
последнего перехода, то все атрибуты, содержащиеся в правой части соответствую- 
щего присваивания. 


Очевидно, значения атрибутов множества у: на состоянии Ч; однозначно 
определяют значение атрибута а в состоянии 9 ›. 


Определение 10. Историей значения атрибута а в 1-м состоянии пути (0 <] <1) 


есть множество НИТ. = |) НИ"; НТ! =а. 


йЕНТ/" 
Очевидно, значений атрибутов множества Н/5Т: в /-м состоянии достаточно 
для однозначного определения значения атрибута а в Г-м состоянии пути. 
Для формирования истории значений атрибут ОВ будет использоваться алгоритм 3, 


который к (ранее сформированным) множествам Егасе [1 ]->НТ$Т добавляет историю 
атрибута а в каждое состояние пути 0 < 1 <. 


Алгоритм 3. Формирование истории значений атрибутов. 
Вход. Структура Егасе (с множествами НТЗТ, И_СЕТ, У_5ЕТ на каждом состоянии), 
длина пути 1, атрибут а. 
Выход. Дополненная историей атрибута а структура Егасе. 


Еогт 615 := ркос(&гасе, ), 1, а) 1оса1 (г, В)Бед1п 
1. ге; 
2. 1#() = 1) ЕБеп ао г < а 
е1зе ао Бед1п 
Э 61$6 = Еогшм 136 (бгасе, 7) +1, 1, а); 
4. Бог _еась ВЕ 15: юг г Н(Сгасе, 7 +1, В) 
епа 
5. Егасе[)]->НТ$Т <— Егасе[)]->нНт$т \/ г; 
6. геёигп г 
епа 
Н := ргкос(Ехасе, ), а)Ъед1п 


1Е(а Е Сгасе[--1]->М 5ЕТ) ЕБеп ао г < сгасе[--1]->\У_ 5ЕТ[а] 

е1зе 4 г < а; 

гебагп г 
епа 
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Вход: 

Схасе= ( 

Сгасе [0] :НТ$Т=сЕ; М ЗЕТ=сЕЁ, 2; У 5ЕТ: [2] =7 

Сгасе [1]: НТ5Т=сЕ; М ЗЕТ=сЕ,Б; У 5ЕТ: [5] =2 ), )=0, 1=1, а=Ь} 
Вход: (добавлены атрибуты 2 и) 

Схасе= ( 

Сгасе [0] : НТ5Т=сЕЁ,&; М ЗЕТ=СЕЁ, 2; У _$ЕТ: [2] =2 

Егасе [1] :НТ5Т=сЕ,Ь; М 5ЕТ=СЕ,Ь; У 5ЕТ: [Ъ]=2 ) 


Рисунок 4 — Пример работы алгоритма 3 


Лемма 3. Алгоритм 3 правильно формирует истории значений атрибутов. 
Доказательство. Легко видеть, что процедура Н правильно вычисляет соответст- 


вующую функцию Н/. Строка 2 процедуры гохи_ъ1зе обрабатывает базис рекурсии, 


записывая в результирующую переменную г атрибут а. Строка 3 реализует, согласно 
определению 10, рекурсивный вызов для вычисления истории на следующем сос- 
тоянии. Строка 4 обеспечивает вызов функции Н для каждого элемента истории 
следующего состояния и объединение результатов в переменную г. Строка 5 выполняет 
объединение ранее заполненной структуры и построенного множества истории для 
атрибута а. Заметим, рекурсия увеличивает второй параметр, и согласно строкам 2 и 
6 при достижении значения, равному длины пути, алгоритм остановится. 

Далее опишем основной алгоритм проверки свойств модели, в основе которого 
лежит алгоритм Тарьяна [23]. Алгоритм реализует обход пространства поведения 
модели, а также находит все компоненты сильной связности. Последнее свойство 
используется для обнаружения ливлоков, а также для проверки темпоральных свойств. 

Алгоритм 4. Проверка свойств модели. 

Вход. Атрибутная транзиционная система (в которой множества состояний еще не 
построены), начальное состояние ао и свойства 4. 

Выход. Множество трасс, ведущих к нарушению свойств, и множество абстрактных 
состояний \1351%еа. 


поае1 срВеск := ргос () Бед1п 
у1в15еа < @; зкаск < Я; 
10161а117е збабе(0); 
фхауегзе (0) 

епа 


Множество у151%еа будет содержать достижимые абстрактные СОСТОЯНИЯ, збаск — 
состояния компонент сильной связности. Для инициализации состояний исполь- 
зуется процедура 1п1{1а11хе_з{абе: 
110161а117е зфафе := ргкос (1) Ъед1п 

ЗЕ 1-0 еп ао раёь[о] < 9 

е1зе 4о раЪб[1] < рафб [1-1]; 

Е хасе[1]->Нт5$Т < @; Егасе[1]->У_ЗЕТ < @; егасе[1]->М_ЗЕТ <— 


©; 
Е гасе[1]->ехр1огеа <— @; +гасе [1] ->аеаЧ1осКк <— Т; +гасе[1]->110К < 1 
епа 


ы] 


Основной процедурой алгоритма есть процедура Е гауегзе: 


Сгауегзе := ркгос (1) 1оса1 (ВК Т,В С,В \,В Р,И,\У, Е, тез, а, 111К,),х)Ъеа1п 
Бог еась © Е Тгапз1®1опз\Егасе [1] ->ехр1огеа 4о Бед1п 
Егасе [1] ->ехр1огеа <— бгасе[1]->ехр1огеа \/ &; 
10161а117е збабе (1+1); 
затолкнуть раб В[1] в зфаск; 


шв 
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5% (тез, ракв[1+1], ВТ, И, У) < +гапз1е (Е, рафВ[1], рав [1+1]); 
6... Бог еась а Е ВТ 90 Гоги 1156 (6гасе, 0, 1, а); 
У. 1Е(гез = Т) ЕБеп 4о Бедлп 
8. 1Е (Егасе [1] ->4еаа1осКк = Е) ЕБеп 4о рае +гасе (Егасе, “попаее”) 
9. е1зе Чо Егасе[1]->ЧеаЧ1оск < Е; 
// проверка цикла 
10. (тез, ВС, 111К) <— сВесК сус1е (ра В, %гасе, 1+1); 
11. 12 (тез = Т) ЕВеп 4о Беда 
2% Еог_еась ) Е (11пКк..1) ао 
Егасе[)]->11пК <— ш1т (6гасе[)]->11пК, 110К); 
1.3. Еог_еасв а Е В С 90 Гоги [136 (&гасе, 0, 1, а); 
14. гееагп 
епа 
// проверка пройденного состояния 
15. (тез, В \) < сресК у1516е4 (раб В [1+1]); 
116 1Е(гез = Т) ЕВБеп ао Бедлп 
ти Бог _еасВ а Е В У 940 Гоги [136 (&гасе, 0, 1, а); 
18. гебагп 
епа 
// проверка свойств 
1.9. (тез, ВР) < ргорегбу сВеск(раЕВ [1+1], Ф); 
20. Бог _еасв а Е ВР о Гоги 1136 (&гасе, 0, 1, а); 
21. 1Е(гез = Т) ЕВеп ао роб Егасе (Егасе[1], “ргорег®у”); 
// заполнение структуры Ехасе и шаг рекурсии 
22. Егасе[1]->М 5ЕТ < И; Егасе[1]->У 5ЕТ < У; 
29 Е гауегзе (1+1) 
епа 
епа 
24. зЕоге \%1$1%еа (рав [1], +Егасе->нт$Т[1]); 
25. 1Е (Сгасе [1] ->ЧеаЯ1оск = Т) ЕБеп ао роЕ (гасе (Егасе, “Ааеаа1осКк”); 
26. 1 (Сгасе[1]->11пК = 1) ЕВеп ао Бедап 
2 рае Егасе (&гасе, “11уе1осК”); 
28. гереае вытолкнуть х из вершины звасКк; рг1пЕ х; 
2:95: 10611 х = ра фб[1]; рк1пЕ “конец сильно связной компоненты”; 
епа 
епа 


Процедура зеоге х1з16еа используется для сохранения пройденных состояний. 
Заметим, что, согласно строке 24, только истории значений атрибутов сохраняются во 
множестве у151еа, а так как истории формируются, согласно строкам 6,13,17,20 только 
из В-атрибутов, то множество \1з1Ееа состоит из В-атрибутов (т.е. «значимых» атрибутов). 
зфоге \1516еа := ргкос(5, А.) 1оса1 (а., аекег)Ьед1п 
а. < ©; 
Еог_еасВ абёг Е А. 40 а. < а. У (абЕг = еуа1Таафе($, абёг)); 
$71316еа <— \1з1%еа \ а. 

епа 


Процедура свеск_\1з1Ееа проверяет принадлежность состояния 5 множеству 
у1з1еа и в случае обнаружения возвращает Т и множество историй атрибутов 
ранее пройденного абстрактного состояния, иначе Е. 


сресКк \у1516е4 := ргкос (5) 1оса1 (4., абег)Бедап 
Еог еасьЬ Ч. Е \151%$еа 4о 
1Е (Еога11 (аббг = уа1ае) Е а.) уа1ае = еуа1оафе (5$, абёхг) 


ЕВеп Ао гебакп (Т, {абег1рокез Е а.}) 
гебкигп (Е; 9) 
епа 
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Процедура свеск_сус1е проверяет наличие цикла и, в случае обнаружения, 
возвращает Т и множество историй НТ$Т зацикленного состояния, иначе К. 


среск сус1е := ргкос (ра®В, %гасе, 1)1оса1()], афЕг)Бед1п 
1; 0. «= 
2. мВ11е ) > 0 90 Ьедап 
Зе 1Е (Еога11 абЕг Е Егасе[)]->нт$5т) 
4. еуа1цафе (рае [)], абфту) = еуа1пафе (раб [1], абЕхг) 
В ЕВеп Ао гебакгп (Т, сгасе[)]->Нт5т, 5); 
6. о Е] 9-5 

епа 

У. гебагп (Е, ©, 1) 

епа 


Теорема 1. Для каждой сильно связной компоненты 5С, графа достижимости 


конкретной АТС алгоритм 4 найдет, и только одну, такую сильно связную 
компоненту 5С, < у1з1ееа графа достижимости абстрактной АТС, в которой для 


каждого 4, Е 5С, существует такое 4, Е ЭС., что 4, С 4, и для каждого 4, е5С,, 
существует такое 4, Е 5С, ‚ что 4, < 4.. 
Доказательство. 


Поиск компонент сильной связности основан на поиске циклов. Покажем, что 
для цикла конкретного пути @ с алгоритм найдет цикл абстрактного пути 


С  сутзуЕеяа, в котором для каждого 4, ЕС, существует такое 4. ЕС., что 
4. С 4. и для каждого 4, е 5С. , существует такое 4, Е ЭС, ‚ что 4, < 4.. 


Пусть предполагаемый абстрактный цикл начинается в состоянии 1<1. Для 
проверки наличия абстрактных циклов предназначена процедура съеск_сусте, 
которая вызывается в строке 10. Согласно строкам 5, 6, 22, 23 алгоритма, а также 
леммам 1, 2 и 3, значений множества Егасе [- ]->НТ$Т атрибутов на 3-м состоянии 
достаточно для однозначного определения значений всех атрибутов, определяющих 
допустимость всех переходов цикла на всех состояниях 3..1. Таким образом, какими 
бы ни были значения атрибутов множества А - Ехасе[1]->нНт$Т, в силу 
конечности множества состояний АТС, существует цикл С, конкретной АТС, в 


котором для каждого состояния 4, ЕС, существует такое абстрактное состо- 
= = <К<: 
яние 4, а (айг = есуашае(ра [К], а), } <к<1, что4, С 4.. А так как 


все абстрактные состояния цикла формируются только из соответствующих конк- 
ретных состояний, то для каждого 4, Е С, существует такое 4, Е С. ‚ что 4, < 4... 


Таким образом, согласно строке 7 процедуры свеск _сус1е, ее результатом 
работы будет тройка (Е, ©, 1) в случае отсутствия цикла в состоянии 1, или, 
согласно строкам 3, 4, 5 тройка (т, п1зе, 31), если существует такой абстрактный 
цикл, в котором значения атрибутов множества в15+=Ехасе[)]->нт$тТ совпадают на 
3-ми 1-м состояниях (0<)<1). 

Далее нужно показать, что алгоритм находит все циклы С.. Для этого доста- 


точно показать индукцией по числу тех вызовов процедуры егауегзе, которые завер- 
ШИЛИ работу, что по окончании Егауегзе (1) множество у1з1Ееа для каждого 
4. ЕС, (9. ЕДО(раШ[П)) уже содержит такие состояния 4, ЕС., что 4, сд... 
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В силу предположения индукции можно считать, что все конкретные циклы, 
достижимые из состояния 1, найдены. Очевидно, цикл всегда имеет повторяемые 
переходы. Множество \%151{еа включает, согласно строкам 6, 13, 17 и процедурам 
Еогм 2156 И з6оке \у1з1ееа, истории всех В-атрибутов (достижимых из 1 
переходов в_Т, циклов В_С и пройденных состояний В_\). Это означает, что всякое 
состояние, в котором значения атрибутов множества Е гасе [1] ->НТ$Т совпадут, 
не будет иметь такого потомка 4,, из которого допустим переход, входящий в 
необнаруженный ранее цикл (Т.е. цикл, для которого не существует такого 
4, ЕУ1з1еа, что 4, © 4,). Следовательно, все циклы будут найдены. 

А так как строки 10 и 12, а также процедура инициализации обеспечивают 
правильную обработку связи 11пКк согласно алгоритму Тарьяна [23], алгоритм 
найдет все сильно связные компоненты 5С,, более того, согласно процедурам 
Боге \у1з1%еа (вызов в строке 24) и свеск у151%еа (в строке 15), нескольким 
конкретным компонентам может соответствовать всего одна абстрактная. 

Следствие. Число состояний в каждой компоненте сильной связности 
абстрактной АТС не больше, чем в соответствующей компоненте конкретной АТС. 

Теорема 2. Для каждой найденной алгоритмом 4 сильно связной компоненты 
графа достижимости абстрактной АТС 5С, < у1з1Ееа существует как минимум 


одна сильно связная компонента 5С, графа достижимости конкретной АТС, в 
которой для каждого 4, Е 5С,, существует такое 4, Е 5С., что 4, с 4., и для 
каждого 4, Е 5С, , существует такое 4, ЕЭС, ‚ что 9. < 4.. 


Доказательство: аналогично доказательству теоремы 1. 
Следствие. Пусть Г, и Г, — множества сильно связных компонент графов 


достижимости соответственно конкретной и абстрактной АТС. Тогда Г, < [Г 


Теорема 3. Алгоритм 4 построит абстракцию М, конкретной АТС М, по отно- 
шению к проверяемым свойствам Ч , такую, что М, = > М, ЕЧ. 


Доказательство: следует из строк 19 и 20, следствия 2 леммы | и теорем 1, 2. 
На основании всего вышеизложенного справедливы следующие следствия: 
1. Число достижимых абстрактных состояний не больше, чем достижимых 


состояний конкретной модели, т.е. | ие | © |5 (4. у 
а 
2. Если конкретная модель содержит достижимое тупиковое состояние 4. Е 0(4,), 
то алгоритм найдет тупиковое состояние, 4“ < 4“, и, согласно строке 25, построит 


соответствующую трассу. 
3. Обратно, алгоритм не обнаружит тупикового состояния (и не построит трассу), 
если конкретная модель не содержит такого достижимого тупикового состояния. 


4. Если конкретная модель содержит достижимый недетерминизм 4, Е 0(4,), 
то алгоритм найдет 4" < 4», и согласно строке 8, построит соответствующую трассу. 


5. Обратно, алгоритм не обнаружит недетерминизм (и не построит трассу), 
если конкретная модель не содержит такого достижимого недетерминизма. 


6. Если конкретная модель содержит достижимый ливлок 4, Е 6(4,), то алгоритм 


> 1 1 
найдет 4, < а, и согласно строкам 27 и 28, построит соответствующую трассу. 
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7. Обратно, алгоритм не обнаружит ливлок (и не построит трассу), если конк- 
ретная модель не содержит такого достижимого ливлока. 

8. Всякий переход, достижимый в конкретной модели, останется достижимым 
в абстрактной модели. 

9. Всякий недостижимый в конкретной модели переход останется недости- 
жимым и в абстрактной модели. 


3. Примеры 


Пример 1. Пусть имеется закрытый замок, у которого М скважин для ключей, и 
пусть существуют 2М ключей — по два на каждую замочную скважину, причем один — 
«правильный», а второй — «неправильный». Работа замка проходит в два этапа. На 
первом ключи упорядоченно устанавливаются, на втором этапе их значения 
считываются (в том же порядке). Если очередной ключ «неправильный», то процесс 
считывания останавливается, при этом замок остается закрытым. Если же все ключи 
правильные, замок открывается. При этом требуется проверить свойство, что если 
хотя бы один из установленных ключей неправильный, то замок останется закрытым. 
Ниже приведены спецификации на языках Рготе!а для ЗРПЧ[24] и ЗМУ для Садепсе 
$МУ[25], Ма МУ[26], Уео® КТЕ для УСЕСАК[27]: 


УРИМ: 
русе зсап = 1, пехЕ Кеу = 1; 
Ь1Е Кеу1 = 0; ... Р1Е КеуМ = 0; 
. зе1тесс: 
Чо 
:: пехЕе Кеу == 1 -> {пехё Кеу = пехЕ Кеу + 1; Кеу1 = 1; дчофо зе1ес®}; 
пехЕ Кеу == 1 -> {пех Кеу = пехЕ Кеу + 1; Кеу1 = 0; добо зе1ес*}; 
пехЕ Кеу == М -> {пехё Кеу = пехЕ Кеу + 1; КеуМ = 1; чобо зсаппег}; 
:: пехЕе Кеу == М-> {пехе Кеу = пехЕ Кеу + 1; КеуМ = 0; доко зсаппег}; 
оа; 
зсаппег: 
Чо 
. (зсап == 1 &5 Кеу1 == 1) -> {зсап = зсап + 1; аобо зсаппег}; 
(зсап == 1 &5 Кеу1 == 0) -> {зсап = 0; саобо епа}; ... 
(зсап == М &5 КеуМ == 1) -> {зсап = зсап + 1; чобо епа}; 
:: (зсап == М && КеуМ == 0) -> {зсап = 0; дчобо епа}; 
оа; 
Свойство: пеуег(зсап == М + 1 && (Кеут == 0 || .. || КеуМ == 0)) 
Садепсе МУ, Ми МУ: 
+АаеЕ1пе М М 
УАВ пехЕ Кеу : 1..(2%*М + 3); УАВ зсап: 1..(М+ 1); 
УАВ Кеу1: {1, 0, 11, 10};... УАВ КеумМ: {1, 0, 11, 10}; 
1016 (пехЕ Кеу) := 1; 11016 (зсап) := 1; 111% (Кеу1) := 0;...1п1% (Кеум) := 0; 
рехё (пехЕе Кеу) := сазе{ 
(пехЕ Кеу = 1 & (Кеу1 = 10 | Кеут = 11)): М+ 1; 
(пехЕ Кеу = М+1 #& (Кеу1т = 1 | Кеу1 = 0)): 2; . 
(пехЕ Кеу = М & (КеуМ = 10 | Кеум = 11)): М+М; 
(пехЕ Кеу = М+ М & (КеумМ = 1 | КеумМ = 0)): 2*М + 1; 
(пехЕ Кеу = 2*М + 1 & зсап = М+ 1): 2*М + 2; 
1:пехЕ Кеу; 
}; 
пехЕ (Кеу1) := сазе{ 
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(пехЕ Кеу = 1): {10, 11}; 
(пехЕе Кеу = М +1 & Кеу1 = 10) 0; 
(пехЕ Кеу = М +1 & Кеут = 1; 
1:Кеут; 
риа 
пехё (КеуМ№) := сазе{ 
(пехЕ Кеу = №): {10, 11}; 
(пехЕ Кеу = № + М & КеуМ = 10): 0; 
(пехЕ Кеу = М + М & КеумМ = 11): 1; 
1: Кеум; 
}; 
пехе (5сап) := сазе{ 
(пехЕ Кеу = 2*М + 1 & зсап = 1 & Кеу1 = 1): зсап + 1; 
(пехЕ Кеу = 2*М + 1 & зсап = 1 & Кеу1 = 0): 0; 
(пехЕ Кеу = 2*М + 1 & зсап = М & КеуМ = 1): зсап + 1; 
1:зсап; 
}; 
СВвойСТВО: ! (пехЕ_кеу = 2*М +2 & (Кеу1 = 0 | | Кеум = 0)) 
УСЕСАВС1, 2): 
поЯи1е малзп (К01, К0О2,... КМ, с1осК); 
1приЕ с1осКк; 1прае [1:0] К01; ... 1праёе [1:0] КМ; 
гед [1:0] Кеу01; ... гед [1:0] КеуМ; гед [5:0] зсап; кеа [1:0] геаа Кеу; 
10161а1 ред1п зсап = 0; геаа Кеуз = 1; Кеу1 = 0; .. КеуМ = 0; епа 
а1мауз @ (розеаде с1оск) 
ред1п 
1Е(геаЯ_Кеу == 1) Кеу01 <= КО01; 
1Е (геаЯ_Кеу == 1) КеуМ <= КМ; 
1Е(геаЯ Кеу == 1) геа@а Кеу <= 0; 
(1) 1Е(геаЯ_ Кеу == 0) зсап <= 1; 
(1) 1Е(зсап == 1 &&5 Кеу01 == 1) зсап <= зсап + 1; 
(1) 1Е(зсап == 1 &&5 Кеу01 == 0) зсап <= 0; 
(1) 1Е(зсап == М &5 КеуМ == 1) зсап <= зсап + 1; 
(2) 1Е(зсап == 1 && Кеу01 == 1 && .. &5 КеуМ == 1) зсап <= М+ 1; 
епа 
епа 
Свойство: (зсап == М +1 && !(Кеу1 == || .. || КеумМ == 0)) || (зсап == 0) 
МУ Мз$мМУ УСЕСАВ (2) ЭРИМ Алгоритм 4 
ь состояния | память | состояния | память | состояния | память | состояния | память | состояния 
11 494.122 19М ? 76мМ 39.284 ЗМ 22.519 ЗМ 121 
12| 1.479.620 63М ? 188М 70.854 4М 45.047 4М 144 
13| 4.434.197|] 155мМ ? 548 М 133.187 5М 90.103 5М 169 
14| 13.295.426| 524АМ - - 257.025 7М 180.215 7М 296 
20 - - - - 17.318.008 | 335М | 11.534.327| 392М 400 


Рисунок 5 — Сравнительный анализ для примера 1 
Заметим, что число состояний и время работы верификаторов ЗМУ, Ма5МУ на 
приведенном примере 0(3“), УСЕСАВ(2), ЗРИМ О(2^), тогда как алгоритма 4 — 
О(№). Для первого случая УСЕСАВ (строки отмечены «1») квадратичный рост 


наблюдается не только по числу состояний, но и по количеству итераций построения 
абстракций, так, уже для М№=5, число итераций 114, М=6б, уже — 219. 
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Пример 2. Рассмотрим программу на языке Си (формализация на языках Вери- 
фикаторов опущена): 
106 мах = 4; с =1; а = 0; 2 = 1; 
сЕ1: мр11е (Е гае) { 
СЕ 1Е(с < пах) с = с+ 1; 
СЗ: 1Е(с > пах + а) с ось 7 }; 


Помимо достижимости переходов, тупиков, ливлоков и недетерминизмов, 
требуется проверить свойство, что всегда выполняется с-1 < пах. На рис. 6 пред- 
ставлено множество абстрактных состояний, построенных алгоритмом 4. Атрибут 
СЕ исполь-зуется в качестве потока управления, повторяющиеся значения вынесены 
за скобки: 


(пах=4) Х (49=0)Х ( 


ль Э СЕ= (СЕТ, СЕ2,СЕЗ) Х (с=4); 
4..6 СЕ= (СЕТ, СЕ2,СЕЗ) Х (с=3); 
7:93 СЕ= (СЕТ, СЕ2,СЕЗ) Х (с=2); 
10..11:  СЕ=(сЕ1Т,СЕ2) Х (с=1) ) 


Рисунок 6 — Абстрактные состояния примера 2 


Заметим, что атрибут 2 не входит ни в одно из 11 состояний, построенных алго- 
ритмом 4. Однако, несмотря на недостижимость последнего оператора, методы типа [6], 
[8], [9], [11], [20] не имеют приемлемого критерия для завершения построения контр- 
примеров (будут генерироваться предикаты с > пах+а, с +2 > пах+9, с + 22 > 
пах-а....); при ограничении (с,а,х = 0..255) Ма5МУ выдает ошибку, пытаясь прис- 
воить переменной с значение 510; число ВОР узлов (и, соответственно, время выпол- 
нения) в экспериментах с УСЕСАК и $МУ заметно сократится (с 106.705 до 9 и с 304.564 
до 738 соответственно), если недостижимое присваивание удалить. 


4. Проверка темпоральных свойств 


Покажем, что метод применим для проверки свойств, заданных формулами 
линейной темпоральной логики [28]. 

Определение 11. Истинность ГТЁ, формулы Ф на состоянии пути р; записы- 
вается р!=Ф, определяется индуктивно по структуре формулы Ф: 


р; |= а = Г(р.,а) =Т - если атомарная формула а истинна в 1-м состоянии; 

р; |= —ф = р, |= ф- если формула фне выполняется в р; 

р: |= $:&ф2 = р: |= ф: & р: |=ф> — если в ррвыполняется формула Фиги $2; 

р; |= фУф2 = р, |= ф: У р. |=ф› — если в р; выполняется формула Ф/! или ф>; 

р; |= ХФ = р:.: |= ф- если фвыполияется в следующем состоянии пути; 

р; |= $192 = (3К>1): (рк |= ф л (\): 1<)<К): р;|= ф:) - если когда-то в 


будущем на пути р выполнится $ф> а до ее выполнения во всех промежуточных 
состояниях вычисления будет выполняться фу. 

Заметим, что добавление семантики темпоральных операторов не противоречит 
семантике множества в_бЕТ. Проверка ГТГ, формул может быть выполнена [29] путем 
обнаружения сильно связных компонент поведения модели, что, согласно теоремам 
Ти 2, обеспечивается алгоритмом 4. 

Таким образом, для проверки свойств, заданных формулами ГТГ, описанный 
метод нуждается в следующем расширении: 1) функцию свеск ргорекеу нужно 
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задать в виде соответствующей реализации @-автомата [3], [30]; 2) функции про- 
верки эквивалентности состояний необходимо усилить, добавив состояние автомата, 
реализующего ГТГ, формулы. 


Выводы 


Приведены основные алгоритмы и обоснование метода оперативного построения 
абстракций для автоматической проверки линейных темпоральных свойств. В отличие 
от [8-11], [20], метод всегда выдает точные результаты, не нуждается в повторных 
запусках экспериментов для уточнений и не требует построения абстрактных 
переходов. Метод полностью автоматический, не подразумевает вмешательства со сто- 
роны пользователя, как того требуют, например [10] [18], [19]. Отметим также, что метод 
не чувствителен к связкам атрибутов в постусловиях недостижимых переходов, как, 
например [4-6], [8-11], [16], [20]. Основным отличием от существующих систем и мето- 
дов верификации есть то, что абстракции строятся «на лету» в процессе проверки 
свойств модели. Также необходимо отметить, что описываемый метод не противоречит 
методам частичного порядка [12], [13] и методам, использующим симметрии [14], [15]. 

Очевидно, худший случай для метода — модель, в которой для интерпретации пере- 
ходов и проверки свойств на каждом состоянии пути потребуются все атрибуты. Однако, 
на практике проверки программ, предусловия переходов, как правило, не большие, а в 
первом конъюнкте предусловий проверяется атрибут потока управления, отсекая, тем 
самым, потребность в проверке остальной части предусловий недопустимых переходов. 
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О.В. Колчин 

Автоматичний метод оперативно!т побудови абстракщй при верифкацй формальних моделей 
асинхронних систем 

Запропоновано метод побудови точних абстракщй «на льоту» та його використання у вериф\каци 
формальних моделей. Метод заснований на тому, що кожний пройдений стан модел! характеризуеться 
неповним набором атрибут\в, при цьому досягаеться суттеве скорочення числа станв необхдних для 
аналзу моделт, що верифткуеться. Описано основн! алгоритми побудови абстракшй, ефективнсть 
використання пролюстровано на прикладах. Наведено необх1дн! розширення для перев:рки темпоральних 
властивостей. 


А. Косйт 

Ап Ашютайс Ме®о4 Гог Оп-Тве-Ну Аб5гасНоп$ Вийдше Витте Моде Уенйсайоп о? АзупсВгопои$ 
Зует5 

А шебфо4 ог “оп-Фе-Ну” ехасё абзтасноп сопзгасНоп юг то4е| сВесКшз 1$ ргорозеа. Те Ба$1$ оЁ е 
тео 15 зюгие оЁ шсотр/ей зе оЁ але ш у15Ие4 з1айе5. Оие ю 1$ Рас! фе питбег оЁ пееде4 Рог 
то4е! апа[у$15 за ез 1$ забубапйаПу зтаПег. Те тат а]еоги баз Юг абзвасНоп$ БиПате аге дезспьеа. 
ЕНесйуепез$ оЁ Фе тефо4 аррушз 15 дЧетопзгае4 у ехатр!ез. ЕпБапсетеп{5 пееде4 Гог {етрога1 
ргорегаез уемйсавоп аге ЧезспЬеа. 


Статья поступила в редакцию 21.07.2008. 
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